Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pourquoi attaquer Facebook ?

avril 2018 par La Quadrature du Net

Notre campagne d’actions de groupe commence par Facebook, qui est l’illustration la plus flagrante du modèle que nous dénonçons : rémunérer un service en échange de notre vie privée et de notre liberté de conscience. Détaillons aujourd’hui les conséquences de ses activités.

Alors que le RGPD entre en vigueur dans un mois, Facebook campe sur ses positions et défend son modèle économique, annonçant il y a deux jours que ses services resteraient inaccessibles aux utilisateurs refusant d’être ciblés. Les modifications que l’entreprise souhaiterait faire (EN) pour, soi-disant, donner plus de contrôle à ses utilisateurs, apparaissent dès lors comme bien marginales et anecdotiques.
Revenons en détail sur les conséquences du modèle Facebook.

L’entreprise Facebook

Facebook a été créé il y a 14 ans, notamment par Mark Zuckerberg, son actuel directeur général, et emploie 25 000 salariés. Son chiffre d’affaire de 30 milliards d’euros repose à 98 % sur l’affichage publicitaire, proposé à 2,2 milliards d’utilisateurs actifs. Le site Facebook serait le 3ème site Internet le plus visité (classement Alexa), mais l’entreprise détient également WhatsApp et Messenger (services de messageries), ainsi qu’Instagram (réseau de partage de photos et de vidéos, 17ème site Internet le plus visité).

L’entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l’entreprise pour qu’elle diffuse ce message à ce public, dans les meilleures conditions.

Ce fonctionnement implique deux choses : connaître chaque utilisateur, puis afficher les messages devant être diffusés, au bon moment et sous le bon format, pour influencer au mieux les personnes ciblées. Détaillons la façon dont Facebook s’y prend.

Ce que Facebook analyse

Facebook explique dans sa Politique d’utilisation des données qu’il analyse les informations suivantes :
o les contenus publics (texte, image, vidéo) que l’on diffuse sur la plateforme (c’est le plus évident, mais loin d’être le plus utile à analyser pour l’entreprise) ;
o les messages privés envoyés sur Messenger (qui dit quoi, à qui, quand, à quelle fréquence) ;
o la liste des personnes, pages et groupes que l’on suit ou « aime », ainsi que la manière dont on interagit avec ;
o la façon dont on utilise le service et accède aux contenus (les articles, photos et vidéos qu’on lit, commente ou « aime », à quel moment, à quelle fréquence et pendant combien de temps) ;
o des informations sur l’appareil depuis lequel on accède au service (adresse IP, identifiant publicitaire de l’appareil1, nom des applications, fichiers et plugins présents sur l’appareil, mouvements de la souris, points d’accès Wi-Fi et tours de télécommunication à proximité, accès à la localisation GPS et à l’appareil photo).

L’entreprise explique, toujours sans pudeur, analyser ces données pour nous proposer les contenus payés de la façon la plus « adaptée » (comprendre : de la façon la plus subtile, pour passer notre attention).
Comme on le voit, la majorité des données analysées par Facebook ne sont pas celles que l’on publie spontanément, mais celles qui ressortent de nos activités. De l’analyse de toutes ces données résulte un nouveau jeu d’informations, qui sont les plus importantes pour Facebook et au sujet desquelles l’entreprise ne nous laisse aucun contrôle : l’ensemble des caractéristiques sociales, économiques et comportementales que le réseau associe à chaque utilisateur afin de mieux le cibler.

Ce que Facebook sait de nous

En 2013, l’université de Cambridge a conduit l’étude suivante : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j’aime » laissés sur Facebook. En repartant de leurs seuls « j’aime », l’université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s’ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %). Cette démonstration a permis de mettre en lumière le fonctionnement profond de l’analyse de masse : quand beaucoup d’informations peuvent être recoupées s’agissant d’un très grand nombre de personnes (plus de 2 milliards pour Facebook, rappelons-le), de très nombreuses corrélations apparaissent, donnant l’espoir, fondé ou non, de révéler automatiquement (sans analyse humaine) le détail de la personnalité de chaque individu.

Aujourd’hui, Michal Kosinski, le chercheur ayant dirigé cette étude, continue de dénoncer les dangers de l’analyse de masse automatisée : il explique (EN) que, par une telle analyse de masse, de simples photos pourraient révéler l’orientation sexuelle d’une personne, ses opinions politiques, son QI ou ses prédispositions criminelles. Qu’importe la pertinence des corrélations résultant de telles analyses de masse, c’est bien cette méthode qui a été à la source du fonctionnement de Cambridge Analytica, dont les conséquences politiques sont, elles, bien certaines. Une application aussi révélatrice qu’inquiétante de telles méthodes est l’ambition (EN) affichée par Facebook de détecter automatiquement les personnes présentant des tendances suicidaires. En dehors de cette initiative discutable2, Facebook révèle ici l’ampleur et le détail des informations nous concernant qu’il espère déduire des analyses de masse qu’il conduit.

Comment Facebook nous influence

Une fois que l’entreprise s’est faite une idée si précise de qui nous sommes, de nos envies, de nos craintes, de notre mode de vie et de nos faiblesses, la route est libre pour nous proposer ses messages au bon moment et sous le bon format, quand ils seront les plus à même d’influencer notre volonté.

L’entreprise s’est elle-même vantée de l’ampleur de cette emprise. En 2012, elle a soumis 700 000 utilisateurs à une expérience (sans leur demander leur consentement ni les informer). Facebook modifiait le fil d’actualité de ces personnes de sorte qu’étaient mis en avant certains contenus qui influenceraient leur humeur, espérant les rendre plus joyeuse pour certaines et plus tristes pour d’autres. L’étude concluait que « les utilisateurs ciblés commençaient à utiliser davantage de mots négatifs ou positifs selon l’ampleur des contenus auxquels ils avaient été “exposés” ».

Cette expérience ne fait que révéler le fonctionnement normal de Facebook : afin de nous influencer, il hiérarchise les informations que nous pouvons consulter sur ses services (le « fil d’actualité » ne représente qu’une faible partie des contenus diffusés par les personnes que nous suivons, car ces contenus sont sélectionnés et triés par Facebook).

Cette hiérarchisation de l’information ne se contente pas d’écraser notre liberté de conscience personnelle : elle a aussi pour effet de distordre entièrement le débat public, selon des critères purement économiques et opaques, ce dont la sur-diffusion de « fakenews » n’est qu’un des nombreux symptômes.

Dans son étude annuelle de 2017, le Conseil d’État mettait en garde contre la prétendue neutralité des algorithmes dans la mise en œuvre du tri : les algorithmes sont au service de la maximisation du profit des plateformes et sont dès lors conçus pour favoriser les revenus au détriment de la qualité de l’information.

Pourquoi c’est illégal ?

Dans ses toutes nouvelles conditions d’utilisation, revues pour l’entrée en application du RGPD, Facebook explique qu’il considère être autorisé à surveiller et influencer les utilisateurs au motif que ceux-ci auraient consenti à un contrat qui le prévoirait. Or, en droit, ce contrat ne suffit en aucun cas à rendre légale ces pratiques.

Le RGPD prévoit que notre consentement n’est pas valide, car non-libre, « si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l’article 29).

Cette exigence d’un consentement libre se répercute sur la validité des dispositions qui, dans le contrat passé avec Facebook, autoriseraient ce dernier à nous surveiller et nous influencer.

En 2017, la CNIL a condamné Facebook à 150 000 euros d’amende pour avoir réalisé ses traitements sans base légale. Elle considérait alors que « l’objet principal du service est la fourniture d’un réseau social [...], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu’il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer ». Ainsi, la CNIL « estime que les sociétés ne peuvent se prévaloir du recueil du consentement des utilisateurs [ni] de la nécessité liée à l’exécution d’un contrat ».

Puisque le contrat passé avec Facebook n’autorise pas la surveillance décrite ci-dessus, celle-ci est illicite - c’est le cœur de nos actions de groupe ! Malheureusement, les méfaits de Facebook dépassent son propre site.

Comment Facebook collabore avec des tiers

Facebook ne cache plus son activité de traçage un peu partout sur le Web, même s’agissant de personnes n’ayant pas de compte Facebook (qui se voient alors créé un « profil fantôme »).

Les méthodes de pistage sont nombreuses :
o des cookies (fichiers enregistrés sur votre appareil permettant à Facebook de vous identifier d’un site à l’autre) ;
o des boutons « J’aime » ou « Partager » affichés sur de nombreux sites (ces boutons, hébergés sur les serveurs de Facebook, sont directement téléchargés par l’utilisateur, indiquant ainsi automatiquement à Facebook leur adresse IP, la configuration unique de leur navigateur et l’URL de la page visitée) ;
o des pixels invisibles (images transparentes de 1x1 pixel) fonctionnant comme les boutons, dont le seul but est d’être téléchargés pour transmettre à Facebook les informations de connexion ;
o Facebook Login, que certains sites ou applications (Tinder, typiquement) utilisent comme outil pour authentifier leurs utilisateurs. Les personnes ciblées en sont rarement informées ou leur consentement n’est pas obtenu. Facebook se dédouane de cette responsabilité en la faisant peser sur les sites et applications ayant integré ses traçeurs. Bien que ces sites et applications soient bien responsables juridiquement, Facebook l’est tout autant, l’entreprise étant régulièrement condamnée pour ce pistage illicite, sans pour autant y mettre un terme :
o en 2015 puis 2018, la CNIL puis la justice belge lui ont demandé d’y mettre un terme, avec une astreinte de 250 000 € par jour ;
o en 2017, la CNIL française l’a condamné à 150 000 € d’amende (montant maximum, à l’époque) ;
o en 2017, la CNIL espagnole l’a condamné à 1 200 000 € d’amende.

Facebook trace également sur smartphone

L’entreprise ne s’intéresse pas seulement aux habitudes de navigation des internautes. Les applications sur téléphone mobile sont également une cible. En fournissant une série d’outils aux développeurs d’applications, Facebook va s’incruster dans ce nouveau monde. Dès qu’une application veut se connecter à Facebook, pour une raison ou une autre, un certain nombre de données personnelles sont transmises, souvent sans lien direct avec le but initial de l’application et, souvent aussi, sans que l’utilisateur n’en soit même informé. L’association Exodus Privacy a mis en évidence l’omniprésence de ces traqueurs dans les applications mobiles. Si certains traqueurs affichent leurs intentions (cibler les utilisateurs à des fins publicitaires), d’autres ont un fonctionnement parfaitement opaque. Ainsi, l’application Pregnancy + récolte les informations privées de l’enfant à naître (afin d’accompagner les parents dans la naissance) et les transmet à Facebook (semaine de grossesse et mois de naissance attendu). Sur son site, l’application explique simplement transmettre à des tiers certaines données pour assurer le bon fonctionnement du service... Grâce à Pregnancy +, votre enfant a déjà son compte Facebook avant même d’être né ! Autre exemple flagrant : en analysant les données émises par l’application Diabetes:M, on constate qu’elle envoie à Facebook l’« advertising ID » de l’utilisateur, donnant ainsi à Facebook une liste de personnes atteintes de diabète. Sur son site, l’application se contente d’expliquer travailler avec des réseaux publicitaires, sans autre détail...

WhatsApp et Instagram

Évidemment, la surveillance exercée par Facebook va s’étendre à ses deux grandes filliales : sa messagerie, WhatsApp, et le réseau social d’image et de vidéo, Instagram.

Le rachat de WhatsApp a mis en lumière le comportement de sa maison mère. La Commission européenne a d’abord sanctionné Facebook d’une amende de 110 millions d’euros sur le plan du droit de la concurrence, puis la CNIL française s’est prononcée sur le plan des données personnelles. En décembre dernier, elle a mis en demeure Facebook d’arrêter d’imposer aux utilisateurs de WhatsApp d’accepter que leurs informations soient transférées au réseau social. Encore une fois, c’est le consentement libre qui faisait défaut : WhatsApp ne pouvait pas être utilisé sans donner son consentement à des mesures purement publicitaires. Ceci est désormais clairement interdit.

Comment Facebook peut-il survivre s’il ne peut plus se financer sur nos données ? Le modèle économique de Facebook est en train d’être drastiquement remis en cause. Il n’est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.

Mais qu’importe : nous n’avons pas besoin de Facebook pour pouvoir continuer d’utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c’est-à-dire qui n’impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d’Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.

Par exemple, La Quadrature du Net fournit à plus de 9 000 personnes l’accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n’est qu’un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la surveillance de masse).

Rejoindre collectivement ces alternatives est bien l’objectif final de nos actions, mais nous pensons pouvoir n’y parvenir qu’une fois chacun et chacune libérée de l’emprise des GAFAM. Nous pourrons alors construire l’Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !

Rejoignez la procédure

• 1. Cet identifiant publicitaire est unique pour toutes les applications de l’appareil, même si l’utilisateur peut choisir de le réinitialiser.
• 2. Les personnes « aidées » le sont par une surveillance de leurs comportements par un acteur privé dont le rôle n’est pas d’être une aide sociale mais un vendeur de publicité ciblée.




Voir les articles précédents

    

Voir les articles suivants